网络安全——VPN流量控制篇.docVIP

超市局域网安全策略设计 ——VPN和流量控制篇 姓名： 学号: 080102060066 学院：工学院目 录 一．VPN篇 1 （一）VPN的必要性 1 （二）VPN的可行性 3 （三）VPN的技术方案 7 （四）VPN造价 11 二．流量控制篇 13 （一）必要性 13 （二）可行性 15 （三）方案 17 （四）资金预算 19 一．VPN篇 （一）VPN的必要性 传统远程通信连接的方式是通过租用专用线路，它使得用户在没有隔离感的环境下远程访问。网络专线就是网络服务提供商给用户提供专用的信道，让用户的数据传输变得可靠可信，专线的优点就是安全性好，QoS 可以得到保证。，管理也专业人员。 （二）VPN的可行性 技术可行性 VPN发展已有20年的历史，它继承了网络安全技术，并结合了下一代Ipv6的特性，通过隧道、认证、接入控制、数据加密技术利用公网建立互联虚拟专用通道，实现网络互联的安全，确保了通信的安全可靠性。VPN能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。经过了这20年的历史，VPN的技术也在不段提高，现在VPN技术在国内外已经相当成熟，出现了大量可供选择的产品。下面从VPN的体系与简单分类说明其技术的可行性： 1）VPN有很多可供选择体系结构： 基于黑匣的VPN：独立于操作系统，产商只提供一个黑匣。硬件的加密设备比软件类型的加密设备速度更快，可以建立所需要的加速隧道。 基于防火墙的VPN：想要在防火墙上建立VPN首先必须确保底层的操作系统的安全性。 网络服务商提供VPN：网络服务商在公司现场放置一个设备来创建VPN隧道。目前国内最流行的也就是这类基于路由器或网关的VPN方案。它的优点是操作简便和便于维护管理。 2）VPN的分类： 按接入方式划分 这是用户和运营商最关心的VPN划分方式。一般情况下，用户可能是专线上网的，也可能是拨号上网的，这要根据用户的具体情况而定。建立在IP网上的VPN也就对应的有两种接入方式：专线接入方式和拨号接入方式。 （1）专线VPN：它是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案。这是一种“永远在线”的VPN，可以节省传统的长途专线费用。 （2）拨号VPN（又称VPDN）：它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务。这是一种“按需连接”的VPN，可以节省用户的长途电话费用。需要指出的是，因为用户一般是漫游用户，是“按需连接的，因此VPDN通常需要做身份认证（比如利用CHAP和RADIUS） 按协议实现类型划分 这是VPN厂商和ISP最为关心的划分方式。根据分层模型，VPN可以在第二层建立，也可以在第三层建立。 （1）第二层隧道协议：这包括点到点隧道协议（PPTP）、第二层转发协议（L2F），第二层隧道协议（L2TP）、多协议标记交换（MPLS）等。 （2）第三层隧道协议：这包括通用路由封装协议（GRE）、IP安全（IPSec），这是目前最流行的两种三层协议。 第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装，其中GRE、IPSec和MPLS主要用于实现专线VPN业务，L2TP主要用于实现拨号VPN业务（但也可以用于实现专线VPN业务），当然这些协议之间本身不是冲突的，而是可以结合使用的。 按VPN的发起方式划分 这是客户和IPS最为关心的VPN分类。VPN业务可以是客户独立自主实现的，也可以是由ISP提供的。 （1）发起（基于客户）：VPN服务提供的其始点和终止点是面向客户的，其内部技术构成、实施和管理对VPN客户可见。需要客户和隧道服务器（或网关）方安装隧道软件。客户方的软件发起隧道，在公司隧道服务器处终止隧道。此时ISP不需要做支持建立隧道的任何工作。经过对用户身份符（ID）和口令的验证，客户方和隧道服务器极易建立隧道。双方也可以用加密的方式通信。隧道一经建立，用户就会感觉到ISP不在参与通信。 （2）服务器发起（客户透明方式或基于网络）：在公司中心部门或ISP处（POP、Point of presence）安装VPN软件，客户无须安装任何特殊软件。主要为ISP提供全面管理的VPN服务，服务提供的起始点和终止点是ISP的POP，其内部构成、实施和管理对VPN客户完全透明。 在上面介绍的隧道协议中，目前MPLS只能用于服务器发起的VPN方式。 按VPN的服务类型划分 根据服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN(Intranet VPN)和外联网VPN（Extranet VPN）。通常情况下内联网VP